Mis on selle komplekti sihtrühm?

See komplekt on mõeldud VKEdele, kes soovivad rakendada ISO 27001:2022-ga kooskõlas olevaid küberturbe kontrollimeetmeid ilma pühendunud IT-turbe osakonnata.

Kuidas kajastuvad VKE nõuded nendes poliitikates?

Rõhutatakse rolle nagu tegevjuht ja välised tarnijad, tagades, et poliitikad on operatiivsed lihtsustatud struktuuriga organisatsioonidele.

Kas see komplekt tagab ISO 27001:2022 vastavuse?

Jah. Kõik kaasatud poliitikad on otseselt kaardistatud peamiste ISO 27001:2022 ja 27002:2022 nõuete vastu, nagu on näidatud vastavuskaardistustes.

Kas need poliitikad käsitlevad nii IT kui ka regulatiivseid nõudeid?

Jah. Poliitikad toetavad vastavust standarditele ISO 27001:2022, GDPR, EL NIS2, EL DORA, NIST SP 800-53 Rev.5 ja COBIT 2019.

Minikomplekt: juurdepääsu- ja võrguturve

Ülevaade

Minikomplekt: juurdepääsu- ja võrguturve – VKE pakub kuut olulist poliitikat, mis katavad juurdepääsukontrolli, kontod, haavatavused, pahavaratõrje, võrgud ning logimis- ja seirepoliitika, kohandatuna VKEdele, et täita ISO/IEC 27001:2022 ja regulatiivsed nõuded praktiliste rollimäärangute ja auditivalmite kontrollimeetmetega.

Täielik VKE turbekatvus

Kuus põhipoliitikat, mis katavad juurdepääsu, võrgud, lõppseadmed, kontod, haavatavused ning logimis- ja seirepoliitika ühes nõuetele vastavas komplektis.

ISO 27001:2022 valmis VKEdele

Poliitikad on kaardistatud ja lihtsustatud VKEdele ilma pühendunud turvameeskondadeta, kasutades rolle nagu tegevjuht ja välised tarnijad.

Selged rollid ja auditijäljed

Kavandatud operatiivseks selguseks, dokumenteeritud ülevaatustsüklite, riskijuhtimise protsessi ja vastavuse aruandlusega.

Loe täielikku ülevaadet

Minikomplekt: juurdepääsu- ja võrguturve – VKE pakub tugevat, eelnevalt ühtlustatud kuuest küberturbe juhtimise dokumendist koosnevat komplekti, mis on loodud spetsiaalselt väikestele ja keskmise suurusega ettevõtetele (VKEdele). Arvestades organisatsioonide eripäraseid väljakutseid, kellel puuduvad pühendunud IT- või turbeosakonnad, on iga komplekti poliitika lihtsustatud kasutama rolle, mis on VKEdes tavapäraselt olemas, nagu tegevjuht, osakonnajuhid ja välised tarnijad. Kõik dokumendid on hoolikalt kaardistatud uusimate ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 nõuetega ning seotud raamistikega nagu NIST SP 800-53 Rev.5, EL GDPR, EL NIS2, EL DORA ja COBIT 2019. Komplekt sisaldab juurdepääsukontrolli poliitikat, mis määrab, kuidas hallatakse juurdepääsu IT-süsteemidele, rajatistele ja andmetele selgete kinnitamisprotsesside, ametlike ülevaatuste ja vähimate õiguste põhimõtte jõustamise kaudu. Kasutajakonto ja privilegeeritud juurdepääsu halduse poliitika laiendab seda, tagades tugevad kontrollimeetmed konto juurdepääsuõiguste andmise, muutmise ja kasutusest kõrvaldamise üle, keelates jagatud autentimisandmed ning nõudes unikaalseid, jälgitavaid identiteete, mida toetavad ranged auditijäljed ja auditilogimine. Mõlemad on kirjutatud organisatsioonidele, kus tegevjuht või väline IT-funktsioon tegutseb süsteemiomanikuna või kinnitava volitusena, vähendades keerukust ja tagades, et kontrolli saab säilitada ka piiratud sisemiste ressurssidega. Haavatavuste halduse ning paikade ja püsivara halduse poliitika määratleb ootused haavatavuste tuvastamiseks, hindamiseks ja parandusmeetmete rakendamiseks kogu ettevõtte IT-varade ulatuses, sh tööjaamad, serverid, pilvtaristu ja tarkvara. Nõutud on õigeaegne süsteemide paikamine, kvartaalne aruandlus ja selged erandite käsitlemise protsessid, kus vastutus on jagatud tegevjuhi ja IT-teenuseosutajate vahel. Lõppseadmete taristu kaitsmiseks annab lõppseadmete kaitse – pahavaratõrje poliitika nõuded viirusetõrje juurutamiseks, oma seadme kasutamise (BYOD) turvaks, seireks ja reageerimiseks, koos tehniliste ja protseduuriliste juhistega, mis on kohandatud VKE konteksti, sh heakskiitmata tööriistade vältimine ja regulaarne turvateadlikkuse koolitus pahavara teemal. Kriitilisi võrgukontrolle käsitletakse võrguturbe poliitika kaudu, mis kirjeldab turvaliste kaabeldatud, traadita ja kaugjuurdepääsukanalite disaini, võrgu segmenteerimist ja isoleerimist, seiret ning jõustamist. Poliitika katab nii füüsilise taristu kui ka loogilised võrgud, nõudes tugevaid tulemüürikonfiguratsioone, virtuaalse privaatvõrgu (VPN) kasutamist koos mitmefaktorilise autentimisega (MFA), regulaarseid turvaauditeid ning autoriseerimata/plaaniväliste muudatuste või anomaaliate tuvastussüsteemide tuvastatud võrgukäitumise aruandlust. Logimis- ja seirepoliitika tagab, et kõik kriitilised tegevused alates administratiivsetest muudatustest kuni automaatsete teavituste ja tehniliste hoiatusteni on auditilogimise kaudu logitud, säilitatud ning regulaarselt logide läbivaatamise käigus üle vaadatud, võimaldades VKEdel täita nii operatiivseid kui ka õiguslikke kohustusi aruandekohustuse, uurimise ja vastavusauditite jaoks. VKE-spetsiifiliste poliitikatena (mida tõendab nende nummerduses olev „S“ ja rolliviited) rõhutab iga dokument praktilist ja realistlikku rakendamist, kasutades registreid, lihtsaid kinnitustöövooge ja kontrollnimekirju suurte meeskondade struktuuride või spetsialiseeritud ametikohtade asemel. Koos pakub see komplekt tervikliku, rakendatava ja auditeeritava aluse küberturbe parimate tavade jaoks väikestes ja keskmise suurusega ettevõtetes.

Sisu

juurdepääsukontrolli poliitika

Kasutajakonto ja privilegeeritud juurdepääsu halduse poliitika

Haavatavuste halduse ning paikade ja püsivara halduse poliitika

Lõppseadmete kaitse – pahavaratõrje poliitika

Võrguturbe poliitika

Logimis- ja seirepoliitika

Raamistiku vastavus

Raamistik	Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022	5.3 5.15 8.1
ISO/IEC 27002:2022	5.15 5.16 8.7 8.8 8.15 8.16 8.20
NIST SP 800-53 Rev.5	AC-1 AC-2 AC-4 AC-5 AC-6 SC-7 SI-2 SI-3 SI-4 AU-2 AU-3 AU-4 AU-5 AU-6 AU-7 AU-8 AU-9 AU-10 AU-11 AU-12 RA-5 CM-2
EU GDPR	Article 5(1)(f)Article 32Article 32(1)(b)Article 33
EU NIS2	Article 21(2)(b)Article 21(2)(d)Article 21(2)(e)Article 23
EU DORA	Article 8(1)Article 9 Article 9(2)(b)Article 10 Article 10(1)Article 10(2)Article 15
COBIT 2019	APO07 APO12.01 APO13.01 DSS01.03 DSS01.04 DSS05.02 DSS05.03 DSS05.04

Raamistik

Kaetud klauslid / Kontrollid

ISO/IEC 27001:2022

5.3 5.15 8.1

ISO/IEC 27002:2022

5.15 5.16 8.7 8.8 8.15 8.16 8.20

NIST SP 800-53 Rev.5

AC-1 AC-2 AC-4 AC-5 AC-6 SC-7 SI-2 SI-3 SI-4 AU-2 AU-3 AU-4 AU-5 AU-6 AU-7 AU-8 AU-9 AU-10 AU-11 AU-12 RA-5 CM-2

EU GDPR

Article 5(1)(f)Article 32Article 32(1)(b)Article 33

EU NIS2

Article 21(2)(b)Article 21(2)(d)Article 21(2)(e)Article 23

EU DORA

Article 8(1)Article 9 Article 9(2)(b)Article 10 Article 10(1)Article 10(2)Article 15

COBIT 2019

APO07 APO12.01 APO13.01 DSS01.03 DSS01.04 DSS05.02 DSS05.03 DSS05.04

Seotud poliitikad

Lõppseadmete kaitse ja pahavara poliitika – VKE

See poliitika määratleb minimaalsed tehnilised, protseduurilised ja käitumuslikud nõuded kõigi lõppseadmete — nt sülearvutid, lauaarvutid, mobiilseadmed ja kaasaskantavad andmekandjad — kaitsmiseks pahatahtliku koodi eest.

Juurdepääsukontrolli poliitika – VKE

See poliitika määratleb, kuidas organisatsioon haldab juurdepääsu süsteemidele, andmetele ja rajatistele, et tagada, et ainult volitatud isikud saavad teabele ligi vastavalt ärivajadusele.

Kasutajakonto ja privilegeeritud juurdepääsu halduse poliitika – VKE

See poliitika kehtestab reeglid kasutajakontode ja juurdepääsuõiguste haldamiseks turvalisel, järjepideval ja jälgitaval viisil.

Haavatavuste ja paikade halduse poliitika – VKE

See poliitika määratleb, kuidas organisatsioon tuvastab, hindab ja maandab haavatavusi süsteemides, rakendustes ja taristus.

Võrguturbe poliitika – VKE

Selle poliitika eesmärk on tagada, et kogu sisemine ja väline võrgusuhtlus on kaitstud volitamata juurdepääsu, manipuleerimise, pealtkuulamise või väärkasutuse eest selgelt määratletud turvakontrollide kaudu.

Logimis- ja seirepoliitika – VKE

See poliitika kehtestab kohustuslikud logimise ja seire kontrollimeetmed, et tagada organisatsiooni IT-süsteemide turvalisus, aruandekohustus ja operatiivne terviklus.

Claryseci poliitikate kohta - Minikomplekt: juurdepääsu- ja võrguturve – VKE

Üldised turbepoliitikad on sageli loodud suurkorporatsioonidele, jättes väikeettevõtted hätta keerukate reeglite ja määratlemata rollide rakendamisega. See poliitika on teistsugune. Meie VKE poliitikad on loodud algusest peale praktiliseks rakendamiseks organisatsioonides, kus puuduvad pühendunud turvameeskonnad. Me määrame vastutused rollidele, mis teil tegelikult olemas on, nagu tegevjuht ja teie IT-teenuseosutaja, mitte spetsialistide armeele, keda teil ei ole. Iga nõue on jaotatud unikaalselt nummerdatud sätteks (nt 5.2.1, 5.2.2). See muudab poliitika selgeks samm-sammuliseks kontrollnimekirjaks, muutes selle lihtsaks rakendada, auditeerida ja kohandada ilma tervete jaotiste ümberkirjutamiseta.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT Turvalisus Vastavus Risk

🏷️ Temaatiline katvus

Juurdepääsukontroll Identiteedihaldus Autentimispoliitika privilegeeritud juurdepääsu haldus Võrguturve Turbeoperatsioonide keskus seire ja auditilogimine haavatavuste haldus paikade ja püsivara haldus

Minikomplekt: juurdepääsu- ja võrguturve – VKE